Integrar provedores de serviço ao Salesforce

O login único (Single sign-on, SSO) permite que os usuários acessem aplicativos sem efetuar login em cada um separadamente e sem ter que criar (e lembrar-se) de credenciais de usuário diferentes para cada aplicativo. Com o login único, você pode conectar seus usuários a aplicativos externos. Por exemplo, um representante de uma central de atendimento pode clicar no bloco Suporte ao Cliente no portal da organização do Salesforce e acessar a organização Suporte ao Cliente sem precisar inserir novamente suas credenciais.

Provedores de identidade e provedores de serviços

Para entender os fluxos de login único, é importante conhecer os papéis desempenhados pelos provedores de identidade e os provedores de serviço.

Tipo de provedor	Papel
Provedor de identidade	Um serviço confiável que permite aos usuários acessar outros aplicativos sem precisar fazer login novamente.
Provedor de serviços	Um serviço que aceita identidade em nome do aplicativo externo de um provedor de identidade.

Quando o Salesforce atua como seu provedor de identidade, você pode usar um aplicativo conectado para integrar um provedor de serviço à sua organização. Nesse tipo de fluxo de SSO, o aplicativo conectado implementa SAML 2.0 ou OpenID Connect para a autenticação de usuário.

Para integrar um provedor de serviço à sua organização do Salesforce, você pode usar um aplicativo conectado que implementa SAML 2.0 para autenticação de usuário. Use essa opção se sua organização já usa o protocolo SAML.

Digamos que você criou um aplicativo da web chamado Seus benefícios que implementa SAML 2.0 para autenticação do usuário. Você quer que seus usuários possam fazer login neste aplicativo com as credenciais do Salesforce. Para configurar este fluxo de login único, configure o aplicativo da web Seus benefícios como um aplicativo conectado. Como sua organização implementou o protocolo SAML, sua organização do Salesforce já está configurada como o provedor de identidade. Quando os usuários fazem login em suas organizações do Salesforce, eles podem acessar o aplicativo da web Seus benefícios sem precisar fazer outro login.

1. Um funcionário de vendas entra em sua organização do Salesforce e abre o aplicativo da web Seus benefícios.
2. O Salesforce envia uma resposta do SAML ao provedor de serviço, que você definiu quando configurou o aplicativo conectado.
3. O provedor de serviço identifica o usuário e valida a assinatura digital enviada pelo Salesforce na resposta do SAML.
4. O usuário é conectado ao aplicativo da web Seus benefícios.

Como o SAML, o OpenID Connect é um protocolo que habilita o login único entre dois serviços. Diferentemente do SAML, o OpenID Connect foi criado para a economia de API atual. Ele adiciona uma camada de autenticação em cima do OAuth 2.0 para possibilitar uma troca segura de tokens de ID que contenham informações do usuário junto com tokens de acesso de OAuth.

Para integrar um provedor de serviço à sua organização do Salesforce, você pode usar um aplicativo conectado que implementa OpenID Connect para autenticação de usuário. Para usar essa opção, o provedor de serviço precisa aceitar tokens do OpenID Connect. Configure um aplicativo conectado com o escopo do OpenID Connect para seu provedor de serviço. O escopo do OpenID Connect transmite informações do usuário em um token de ID. Os usuários podem então fazer login no aplicativo externo com as credenciais do Salesforce ou Experience Cloud.

Por exemplo, você quer que seus usuários façam login diretamente em sua organização do Salesforce para um aplicativo de acompanhamento de bem-estar externo que aceita OpenID Connect. Então você cria um aplicativo conectado para o aplicativo de acompanhamento de bem-estar. Para o aplicativo conectado, você ativa configurações do OAuth, seleciona o escopo “Permitir o acesso ao seu identificador exclusivo (openid)” e configura um token de ID. Essa configuração habilita o fluxo de SSO para seu aplicativo de acompanhamento de bem-estar pela integração do provedor de serviço à sua organização do Salesforce.

1. Um usuário abre o aplicativo de acompanhamento de bem-estar.
2. O Salesforce envia o ID e o segredo do cliente do aplicativo conectado para o serviço de acompanhamento de bem-estar, junto com os dados de autenticação adicionais.
3. O serviço de acompanhamento de bem-estar valida a solicitação para acessar o aplicativo. Ele então retorna as informações ao servidor do Salesforce em troca de tokens para acessar dados do usuário.
4. O Salesforce envia os tokens ao serviço de acompanhamento de bem-estar.
5. O serviço de acompanhamento de bem-estar autoriza o acesso à conta de acompanhamento de bem-estar.
6. O usuário é conectado ao aplicativo de acompanhamento de bem-estar.

Você está indo bem! Você conheceu os aplicativos conectados e aprendeu a usá-los a fim de integrar aplicativos externos à API do Salesforce e a usá-los para integrar provedores de serviço ao Salesforce. Agora, vamos falar sobre como usar os aplicativos conectados para fornecer autorização para gateways de API externa.